SECURITY INCIDENT?
BEL ONS 24/7 +31(0)88 133 0700

Zo gijzel je een netwerk, in twaalf stappen

Inhoud

Inhoud

Cybercrime Aanvallen met gijzelsoftware (ransomware), zoals bij de Maastrichtse universiteit, zijn professioneler geworden. Hoe gaan criminelen te werk?
Bron: nrc.nl

NRC sprak met experts van NFIR,  Fox-IT, KPN Security en het Nationaal Cyber Security Centrum over ‘big game hunting’, zoals cybercriminelen hun werk noemen. Hoewel groepen van cybercriminelen elk hun eigen modus operandi en favoriete gereedschappen hebben, zijn er overeenkomsten in hun aanpak. De eerste fases van de hack gaan grotendeels geautomatiseerd, daarna wordt overgeschakeld op handwerk. Dat vergt kennis en geduld. 

Bron: NRC

Zo gijzel je een netwerk, in twaalf stappen

Cybercrime Aanvallen met gijzelsoftware, zoals bij de Maastrichtse universiteit, zijn professioneler geworden. Hoe gaan criminelen te werk?

Het zou een flauwe mop kunnen zijn: hoe krijg je een systeembeheerder zover om zijn of haar wachtwoord prijs te geven? Boots op een gehackte computer een storing na, waardoor de gebruiker de IT-helpdesk belt. Om deze nepstoring te verhelpen voert de helpdeskmedewerker een beheerderswachtwoord in, daarbij gadegeslagen door de indringer.

Geen mop dus, legt cybersecurityexpert Frank Groenewegen van Fox-IT uit, maar één van de trucs die hackers toepassen als ze zich een weg banen in bedrijfsnetwerken: van de ene computer naar de andere springend, op zoek naar de cruciale plek die toegang biedt tot alle netwerkonderdelen. Om vanaf daar in één handomdraai een complete organisatie te gijzelen. Dat overkwam de Maastricht University vorige maand: net voor de kerstvakantie bleken alle belangrijke bestanden versleuteld en servers geblokkeerd. Inmiddels werken de systemen weer. De universiteit wil berichten dat er tonnen aan losgeld betaald is niet bevestigen. Fox-IT doet ook geen mededelingen over de specifieke hack in Maastricht omdat het bedrijf de aanval nog onderzoekt.

De hack van de universiteit is een voorbeeld van ransomware. Deze vorm van criminaliteit is uitgegroeid tot professioneel maatwerk. Het begon als eenworm die in theorie elke computer kon treffen. Berucht is de uitbraak van WannaCry in 2017. Een variant daarop was NotPetya – een worm, vermomd als ransomware die zich automatisch een weg baande in bedrijfsnetwerken en zo bijvoorbeeld transportbedrijf Maersk platlegde.

Na deze lukrake aanvallen ontdekten cybercriminelen dat er veel te verdienen is aan gerichte ransomware-aanvallen. Hun aanpak lijkt op de manier waarop geavanceerde inbrekers – ethische hackers of spionnen – netwerken penetreren.

Ze kijken waar ze toegang kunnen krijgen en hun slag kunnen slaan. Liefst bij grote bedrijven omdat daar veel geld te verdienen is

Frank Groenewegen Fox-IT

NRC sprak met experts van Fox-IT, KPN Security, NFIR en het Nationaal Cyber Security Centrum over ‘big game hunting’, zoals cybercriminelen hun werk noemen. Het is jagen op groot wild. „Ze kijken waar ze toegang kunnen krijgen en hun slag kunnen slaan. Liefst bij grote bedrijven omdat daar veel geld te verdienen is”, zegt Groenewegen.

Hoewel groepen van cybercriminelen elk hun eigen modus operandi en favoriete gereedschappen hebben, zijn er overeenkomsten in hun aanpak. De eerste fases van de hack gaan grotendeels geautomatiseerd, daarna wordt overgeschakeld op handwerk. Dat vergt kennis en geduld. Groenewegen: „We hebben gezien dat hackers zich langer dan een half jaar verscholen om zeker te zijn dat alle backups gesaboteerd waren.” Dan zit er voor het slachtoffer maar één ding op: betalen.

Een tactisch feestje

Hoe hack je een netwerk? Je kunt de aanpak vergelijken met iemand die als nieuweling op een feestje binnenkomt. Je kent er niemand, maar ziet wel dat het leukste gezelschap zich helemaal aan de andere kant van het feest bevindt, in een aparte ruimte. Om daar binnen te komen, moet je eerst kennismaken met andere feestgangers en hun vertrouwen winnen.

Een manier om de tactiek in kaart te brengen is het aanvalsschema van mitre.org: twaalf verschillende stappen die ook ethische hackers doorlopen om te testen hoe robuust een netwerk is. Dit is een vereenvoudigde samenvatting. In de praktijk worden de stappen vaak gecombineerd of herhaald.

1. Toegang verwerven tot machine

Phishing – een nepmail – is een veelgebruikte methode om computers te hacken, net als kwaadaardige code in websites of webadvertenties. Gekraakte machines worden op grote schaal verhandeld via zogeheten ‘RDP-shops’. Rik van Duijn van KPN Security laat zien op welk soort sites je voor een paar tientjes toegang kunt kopen tot een machine waarbij het remote desktop protocol van Windows open staat voor de buitenwereld en het wachtwoord gekraakt is.

Cybercriminelen kunnen zoeken naar ‘interessante’ gekraakte computers – van bedrijven of instellingen met een grote omzet. Van Duijn vindt al snel een Nederlandse server, in Leeuwarden. Kosten: 16 euro.

Ransomware - Toegang verwerven tot machine

2. Uitvoeren in het geheim

De hacker probeert onderhuids scripts en code uit te voeren, zonder ontdekt te worden door de gangbare controlemechanismes. Powershell is een krachtig Windows-gereedschap dat vaak misbruikt wordt. In deze fase wordt al voorzichtig de omgeving van de geïnfecteerde computer verkend, op zoek naar kwetsbaarheden en waardevolle data.

Ransomware - Uitvoeren in het geheim

3. Volhouden

Om een veroverde positie te behouden moet de hacker verborgen aanpassingen doen in (opstart-) procedures, gebruikeraccounts of het Windows-register. Een bootkit kan de computer om de tuin leiden vanaf de allereerste start van de harde schijf. Zo houdt de hacker ook na een herstart toegang. In de praktijk is de meeste kwaadaardige software al ‘persistent’.

Ransomware - Volhouden

4. Hogere rechten verwerven

De rechten van een gewone computergebruiker zijn beperkt – de hacker aast op beheerdersrechten op de besmette machine. Bijvoorbeeld door de gebruiker uit te lokken om het beheerderswachtwoord in te voeren of programma’s te dwingen om op een hoger niveau te opereren. Het komt voor dat alle laptops hetzelfde beheerderswachtwoord hebben – zelfs die van de ‘allerhoogste’ systeembeheerder. Een andere truc: de nep-storing om een helpdeskmedewerker naar een besmette pc te lokken.

Ransomware - Hogere rechten verwerven

5. Verdediging omzeilen

Om een antivirussysteem om de tuin te leiden wordt misbruik gemaakt van digitale certificaten, waardoor kwaadaardige software legitiem lijkt. Een andere manier om opsporing te voorkomen is antivirus helemaal uit te schakelen, bestanden te vermommen of code buiten de gebruikersaccount om uit te voeren.

Ransomware - Verdediging omzeilen

6. Inloggegevens stelen

Wachtwoorden kunnen uit het geheugen van de computer gevist worden, of via keyloggers die elke toetsenbordaanslag opslaan. Zwakke wachtwoorden kun je met brute rekenkracht raden. Vaak slingeren er wachtwoorden in bestanden en scripts op gedeelde netwerkschijven. Met zogeheten tweefactorauthenticatie is alleen een wachtwoord niet voldoende om in te loggen maar er zijn manieren om die extra beveiliging te omzeilen. Een wachtwoordmanager – een kluis voor alle belangrijke inloggegevens – kan te openen zijn, als de hacker achterhaalt wie toegang die kluis heeft.

Ransomware - Inloggegevens stelen

7. Verkenning van het netwerk

Veel organisaties gebruiken Active Directory van Microsoft om hun netwerk in te richten. Hoe beter de cruciale netwerkonderdelen van de gewone gebruikersaccount gescheiden zijn, hoe lastiger het voor inbrekers wordt. De hacker inventariseert of er meerdere netwerkdomeinen zijn, gaat op zoek naar de onderlinge vertrouwensrelaties, scant servers op bekende kwetsbaarheden en open poorten, zoekt naar gebruikte clouddiensten, accountnamen, wachtwoordbeleid en actieve beveiligingssystemen. Hiervoor worden dezelfde gereedschappen gebruikt die ethische hackers inzetten voor netwerktests.

Ransomware - Verkenning van het netwerk

8. Sprong naar ander systeem

Met een ‘laterale beweging’ in een netwerk zoekt de hacker naar een andere computer met hogere rechten. De hacker installeert bijvoorbeeld software voor beheer op afstand, of gebruikt bestaande gegevens om minder op te vallen. Via spearphishing (nepmail verzonden vanaf de computer van een vertrouwde collega) kan een buitenstaander toch op de computer van een systeembeheerder komen. Als er geen verbinding met het internet is kan kwaadaardige software via een usb-stick toch op andere pc’s belanden.

Ransomware - Sprong naar ander systeem

9. Data verzamelen

De hacker probeert informatie te verzamelen: waardevolle documenten, mail, toetsenbordaanslagen, audio- en video-opnames en schermafbeeldingen. Voor ransomware moet de hacker weten wat het backup-beleid is en hoe lang het duurt voordat de fysieke backups op tape onklaar gemaakt kunnen worden. Backups in de cloud zijn ook niet veilig, als de wachtwoorden vindbaar zijn.

Ransomware - Data verzamelen

10. Beheer op afstand

Om controle te houden over het netwerk moet de hacker op afstand commando’s versturen zonder dat dat opvalt in het netwerk. Bijvoorbeeld door veelgebruikte netwerkpoorten te kiezen, dataverkeer te versleutelen of onzindata toe te voegen. Ook de oorsprong van het netwerkverkeer kan verdoezeld worden om te voorkomen dat monitoringsystemen de command & control-server ontdekken en blokkeren. Overigens draait op lang niet alle bedrijfsnetwerken adequate monitorsoftware.

Ransomware - Beheer op afstand

11. Data verzamelen

Als hackers van plan zijn (ook) data te stelen worden de gegevens in het geheim verzameld en verpakt in kleinere bestanden door middel van compressie. Deze gegevens worden vaak in kleine delen opgeknipt en versleuteld verstuurd, om niet op te vallen in het overige netwerkverkeer.

Ransomware - Data verzamelen

12. De aanslag

Na al het verborgen werk slaan de hackers toe, liefst op een rustig tijdstip. Het encryptieproces kan al in een paar uur achter de rug zijn. In het geval van ransomware worden processen afgesloten, zodat alle bestanden versleuteld kunnen worden. In elke map blijft een leesbaar document achter met het verzoek om losgeld te betalen. Hetzelfde beheergereedschap dat gebruikt wordt om honderden werkplekken tegelijk te configureren, wordt nu ingezet om alle bestanden te versleutelen.

Slecht beheer of bezuinigingen op beheer maken het hackers te makkelijk

Arwi van der Sluijs NIFR

Ransomware - De aanslag

Wordt u geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek of een cybersecurity aanval? Op uw verzoek komt NFIR direct in actie met een incident response team. 

Penetratietest laten uitvoeren?

NFIR classificeert de kwetsbaarheden van pentesten middels het Common Vulnerability Scoring System (CVSS 4.0)
Neem contact met ons op over uw pentest
Pentest

Wordt u geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek of een cybersecurity aanval? Op uw verzoek komt NFIR direct in actie met een incident response team.

NFIR staat 24/7 voor haar opdrachtgevers klaar om elk beveiligingsincident in kaart te brengen en op te lossen. Ons Incident Response team doet haar uiterste best om binnen drie uur bij u op locatie te zijn. Het doel van het incident response team is de impact van het cyber incident zo snel mogelijk tot een minimum beperken, zodat de continuïteit van uw organisatie niet meer in het geding is.

Lees verder over ons incident response team om u te helpen bij een ransomware aanval.

Onze penters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.
Laat de weerbaarheid van uw (web)applicatie, website, IT-infrastructuur, koppelingen (API’s) en mobiele apps controleren door een penetratietest van NFIR.

De visie van NFIR op security monitoring is dat deze dienst niet langer moet zijn voorbehouden aan de allergrootste bedrijven in Nederland met veel security kennis. De security monitoring dienst van NFIR biedt om die reden een zeer betaalbare en gemakkelijk te interpreteren oplossing voor het MKB (bedrijven met 50 tot 500 medewerkers).

NFIR biedt een 100% geautomatiseerde oplossing om uw netwerk activiteiten te monitoren. U krijgt kritische meldingen direct via email of sms binnen en u kunt daarop zelf actie ondernemen. Indien gewenst kunnen onze Security Monitoring specialisten uw organisatie ondersteunen bij het nemen van deze acties. Daarnaast kunnen wij u ook ontzorgen bij het interpreteren van de (complexere) meldingen. Als het echt verkeerd gaat, kunnen wij u op elke locatie ondersteunen met onze Incident Response teams.

Blijf op de hoogte van de laatste Security Threats

Blijf op de hoogte van de laatste IT Security dreigingen door u in te schrijven voor onze Threat Intelligence reports. Zodra wij een nieuw Threat Intelligence report publiceren wordt u direct op de hoogte gebracht per e-mail. 

"*" geeft vereiste velden aan

Naam*
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Elementor Footer #15975

NFIR - Rijswijk

NFIR - Zwolle

Contact

Elementor Footer #15975
Elementor Footer #15975
Elementor Footer #15975

Copyright © 2024 NFIR B.V.